組織が抱える情報セキュリティに関する課題は、以下のとおりです。
| カテゴリー | タイトル | 詳細 |
|---|
| 組織の内部 | 発注元ごとのルールへの依存と最低限の統一ルールの欠如 | 発注元が提供する環境・ポリシーに従って案件を進める運用となっているが、自社内での共通的なガイドラインや運用ルールが明確でないため、担当者による判断のばらつきが生じやすい。特に情報の取り扱い方や保存先、認証方式などで一貫性が保ちにくく、属人化の原因となっている。 |
| 組織の内部 | インシデント対応責任の不明確さ | 発注元の環境で業務を行う際、情報漏洩や不正アクセス等が発生した場合に、自社としてどのように報告・対応すべきかのフローが社内で明確化されていない。これにより、初動対応が遅れるリスクや、対応のばらつきが発生する可能性がある。 |
| 組織の内部 | 分散した業務環境における情報管理の困難さ | リモートワークを中心に業務が行われており、情報の保存先(クラウドサービスやローカル端末など)が分散しがちで、統一的な情報管理が難しい。特に適用範囲外のメンバーとのやり取りで、どこまで統制すべきかの判断が曖昧になる。 |
| 組織の外部 | 顧客からのセキュリティ要望の多様化 | 大手クライアントからISMS取得や第三者監査報告(SOC2など)の提示を求められるケースが増加。対応工数が増え、統一的なポリシー整備が必要。 |
| 組織の外部 | 外部サービスへの依存 | ソースコード管理、ドキュメント、チャットなどクラウドサービスに依存しており、停止・漏洩のリスクが事業継続に影響する可能性。 |
| 組織の外部 | 契約リスクへの対応強化 | クライアントからの業務委託契約が増加する中で、契約書類管理や秘密保持契約(NDA)、再委託管理の体制整備が求められている。 |
利害関係者から、以下のニーズや期待があります。
| 利害関係者 | ニーズ・期待 | 詳細 |
|---|
| 受託開発の発注元(顧客) | セキュリティ要件や調査票への対応 | 受託開発における発注元から、ISMS取得やセキュリティチェックシートへの対応、契約上のセキュリティ要件の遵守が求められている。継続的な契約維持・信頼確保のため、社内での整備と対応体制の明確化が期待されている。 |
| 従業員 | 個人情報の保護と安心して働ける環境の整備 | 従業員の給与・評価・勤怠などの人事情報は、適切に保護されるべき重要な個人情報である。これらを安全に管理し、外部漏洩や不正アクセスがないようにすることで、従業員が安心して働ける環境の提供が期待されている。 |
| 従業員(プロジェクトメンバー) | 業務環境における情報の安全な取扱い | 案件ごとに異なるクラウド環境・認証方式に対応しながらも、情報漏洩リスクを避けるため、従業員が自社基準でも情報管理・操作方法を理解していることが求められる。 |
上記の課題や利害関係者をもとに、当社のISMSの対象となる「適用範囲」を以下のように定めます。
| カテゴリー | 対象 |
|---|
| 組織 | エアーズ株式会社 |
| 所在地 | 静岡県浜松市中央区砂山町323-16 |
| 業務内容 | 浜松支店におけるソフトウェア開発業務(受託開発および自社サービス開発を含む)。なお、業務の大部分はリモートワークにより実施されており、遠隔環境も適用範囲に含まれる |
| 対象部門 | 開発業務部門 |
| 改定日 | 版 | 改定内容 | 承認 |
|---|
| 2025-09-19 | (2025.09.12.01) | SecureNavi上で承認(報告者: 鈴木謙吾、報告日: 2025-09-12) | 加藤匡邦 |
| 2026-06-10 | 1.0 | GitHubリポジトリ(airs/isms)へ移行。文書番号POL-017を付与。SecureNaviのPDFエクスポートで欠落していた適用範囲の「対象部門」行を適用範囲.csv(承認済みデータ)から補完 | 加藤匡邦 |